一.基础知识点

总结点:学会不同对象采用不同抓包封包抓取技术分析

1、抓包技术应用意义

抓包就是来抓取相关应用的数据,测试的时候不给目标只给应用,要抓应用的信息进行安全测试

2、抓包技术应用对象

手机应用APP、小程序、电脑应用等

3、抓包技术应用协议

看看是WEB协议还是其他协议

4、抓包技术应用支持

参考:

  • Fiddler:

    是一个 http 协议调试代理工具,它能够记录并检查所有你的电脑和互联网之间的 http 通讯,设置断点,查看所有的“进出”Fiddler 的数据(指 cookie,html,js,css 等文件)。 Fiddler 要比其他的网络调试器要更加简单,因为它不仅仅暴露 http 通讯还提供了一个用户友好的格式。

  • Charles:

    是一个 HTTP 代理服务器,HTTP 监视器,反转代理服务器,当浏览器连接 Charles 的代理访问互联网时,Charles 可以监控浏览器发送和接收的所有数据。它允许一个开发者查看所有连接互联网的 HTTP 通信,这些包括 request, response 和 HTTP headers (包含 cookies 与 caching 信息)。

  • TCPDump:是可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供 and、or、not 等逻辑语句来帮助你去掉无用的信息。

  • BurpSuite:是用于攻击 web 应用程序的集成平台,包含了许多工具。Burp Suite 为这些工具设计了

    许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的 HTTP 消息、持久性、认证、代理、日志、警报。

  • Wireshark:是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出

    最为详细的网络封包资料。Wireshark 使用 WinPCAP 作为接口,直接与网卡进行数据报文交换。

    科来网络分析系统:是一款由科来软件全自主研发,并拥有全部知识产品的网络分析产品。该系统具有行业领先的专家分析技术,通过捕获并分析网络中传输的底层数据包,对网络故障、网络安全以及网络性能进行全面分析,从而快速排查网络中出现或潜在的故障、安全及性能问题。

  • WPE&封包分析:是强大的网络封包编辑器,wpe 可以截取网络上的信息,修改封包数据,是外挂制作的常用工具。一般在安全测试中可用来调试数据通讯地址。

5、封包技术应用意义

二.实际案例

1.APP&小程序&PC 抓包 HTTP/S 数据——Charles&Fiddler&Burpsuite

监听安卓APP:

Charles

在模拟器上设置代理,在茶杯上设置代理

Fiddler

Burpsuit(最好用)

查看历史:

小程序:

Charles

Fiddler

2.程序进程&网络接口&其他协议抓包-WireShark&科来网络分析系统

打开wireshark,设置上网网卡(具体使用移步教学)

接下来用科来,对新手比较友好,选择网卡后点击开始

打开有道登录

3.通讯类应用封包分析发送接收-WPE 四件套封包&科来网络分析系统

用科来发现游戏主要数据包(走路时数据一直在动的那个)

接下来用WPE封包监听工具,监听回城功能,开始抓包后点击回城,获得以下封包数据

测试发送其中几个类型为“发送”的数据包,会发现当发送到一个数据包时,游戏角色回城了(这只是一个案例,可以类比实现其他功能)

区别:用科来抓到的数据包是零散的,回城的时候所有的数据都在那个数据包里;而用封包监听工具,回城的时候就可以以一个个封包的形式展现出来操作

如果有些封包抓不到,用老实的办法,可以先装一个代理机器人,再用CCproxy,原理就是代理机器人把模拟器的流量转发到CCproxy里,再用工具监听流量

把代理机器人安装在模拟器里,解除模拟器的应用代理,打开CCproxy设置

端口改一致

接下来打开WPE,目标进程选CCproxy

几个区别:

课后梳理:

  • 为什么要抓包 ?

  • 抓包对象有哪些?

  • 学会抓包基础操作,协议区别:有部分应用不走HTTP/S,需要用全局抓包

  • 理解封包和抓包的不同之处:零散和整体的区别,封包能精确到操作的数据包